为什么 ImageMagick 这样的开源软件也会引入如此严重的安全漏洞?

2016 年 5 月 5 日

zvving

安全漏洞介绍在这里: 安全预警： ImageMagick 图象处理软件存在远程代码执行(CVE-2016-3714) - FreeBuf.COM | 关注黑客与极客

LZ 知道开源不是万能的，不过 ImageMagick 这样流行的开源软件必然有少部分外部开发协作维护，为什么也会让这样严重的安全问题代码入库？

有了解类似情况的前辈能科普下不？

7158 次点击

所在节点

程序员

37 条回复

function007

2016 年 5 月 5 日

OpenSSL 笑而不语

tony1016

2016 年 5 月 5 日

安全 bug 本来就难以被发现。 openssl 比这货更流行，不也心脏出血

congeec

2016 年 5 月 5 日

开源的好处在于代码有很多人看，能发现部分 bug
当然，代码写的太乱谁也救不了。你看，一楼很懂

zkd8907

2016 年 5 月 5 日

开源!=安全

akagi

2016 年 5 月 5 日

复杂的边界条件没那么好判断

realpg

2016 年 5 月 5 日

LZ 被迫害妄想症泛滥么

这是作者故意写的？ 2333333

youxiachai

2016 年 5 月 5 日

lz...压根就不知道一个安全漏洞..是历经何其复杂的过程.才被发现.......

m8syYID5eaas8hF7

2016 年 5 月 5 日

@youxiachai 对，之前看 struts 那个漏洞的分析贴，不认真看源码真的是什么都发现不了。。。。

Testalias

2016 年 5 月 5 日

NTP 也爆出漏洞了

akagi

2016 年 5 月 5 日

@youxiachai +1 不过自动化工具可以代劳一部分

xcodebuild

2016 年 5 月 5 日

只要是软件都会有 bug 。。和开源不开源没关系

sunsh217

2016 年 5 月 5 日

免费给你用就不错了，还鸡鸡歪歪。不想用可以不用。

xbb7766

2016 年 5 月 5 日

Openssl 和 bash 发来贺电

leavic

2016 年 5 月 5 日

我从来就不相信别人写的代码

2016 年 5 月 5 日

对于开源项目，说句实话，大家都忙于完善功能，对于安全方面，很多都只修正浅显的漏洞。

harry890829

2016 年 5 月 5 日

然而，还有一部分人专门 review 代码找 bug 的，找到了拿到黑市卖……

R4rvZ6agNVWr56V0

2016 年 5 月 5 日

鄙人之见，代码中的安全问题往往是经验问题。 contributor 们虽然会写代码但并不一定有很强的意识去 review 代码做安全审查

ragnaroks

2016 年 5 月 5 日

@loading
+Max

foonsun

2016 年 5 月 5 日

openssl 笑了~

dphdjy

2016 年 5 月 5 日

@leavic 我连自己写的都不相信 :doge:

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/276418

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.